Data Processing Agreement

Este documento describe los términos bajo los cuales GRD Radical Corporation (procesador) trata los datos personales por cuenta del cliente (responsable del tratamiento).

Para clientes con contrato pro/enterprise firmamos un DPA contractual que sustituye este modelo. Solicítelo a info@gruporadical.com.

1. Objeto, naturaleza y propósito

Provisión del servicio SOVPREMISE — IA conversacional con RAG sobre documentos. Duración: mientras esté vigente la suscripción.

2. Tipos de datos y categorías de titulares

Datos de identificación profesional (nombre, email, rol). Datos de uso (logs de auditoría). Contenido del corpus que el cliente decida cargar (responsabilidad del cliente excluir datos especialmente protegidos salvo acuerdo expreso).

3. Obligaciones del procesador

• Tratar los datos solo según instrucciones documentadas del cliente.
• Confidencialidad: personal con compromiso explícito de confidencialidad.
• Medidas técnicas y organizativas (Anexo II).
• Notificar incidentes de seguridad en menos de 72 horas.
• Eliminar o devolver los datos al final del contrato.

Anexo II — Medidas de seguridad

• Cifrado en reposo (AES-256) y en tránsito (TLS 1.3).
• RBAC con principio de mínimo privilegio.
• MFA obligatorio para administradores.
• Auditoría inmutable firmada con HMAC-SHA256.
• Backups cifrados diarios, retención 30 días.
• Pen-testing anual; revisiones red-team trimestrales (enterprise).
• Certificaciones ISO 27001, ISO 27701, ISO 9001.